マイクロソフト、2億5千万件のカスタマサポート記録を誤って公開。修正後ブログで謝罪。
セキュリティ研究者のBob Diachenko氏は、マイクロソフトの2億5千万件に及ぶカスタマサポートの記録が誤って誰でもアクセス可能な状態で公開されていたと発表した。
Diachenko氏は、インターネット上に公開されていたElasticsearchサーバ五台を発見。このデータベースには、マイクロソフトサポート担当者とマイクロソフトの世界中の顧客との間で交わされた2005年から2019年までの14年間にわたる会話のログが含まれていた。同氏によれば、すべてのデータは、パスワードなどの認証を必要とせず、ウェブブラウザさえあれば誰でもアクセスできる状態になっていたという。
■情報漏えい発覚から修正までの時系列
Diachenko氏によれば、2019年12月29日にDiachenko氏が公開されているデータベースを発見しマイクロソフトに通知。30日から31日の二日間でマイクロソフトはデータベースを保護し問題を修正した。
■マイクロソフトの発表
2020年1月22日、マイクロソフトは同社ブログで本インシデントについて公開した。それによれば、2019年12月5日 (米国時間) にデータベースのネットワーク セキュリティグループに変更を加えた結果、データを公開状態とする設定が、誤って構成されたとのこと。
Diachenko氏の報告を受け、2019年12月31日設定を修正し、データベースを制限するとともに、データベースアクセスと認可されていないアクセスを防止したという。
公開されていたデータベースは、サポートケースの分析に使用しているマイクロソフト内部のデータベースについてのみ発生したものであり、商用クラウドサービス上のデータが公開の状態になっていることではないとのこと。また、マイクロソフトの調査では、悪用は見つかっておらず、ほとんどの顧客個人を特定できる情報は、公開された状態ではないとのこと。
同社は今回のような設定ミスは業界全体でも一般的に発生しうるものであるが、今回の件を真摯に受け止め再発防止に務めるとした。